Prezentacja ze spotkania DPO Talks - warsztatów dla osób pełniących funkcję Inspektora Ochrony Danych oraz zajmujących się ochroną danych osobowych w firmach.
2. PwC
Agenda
1. Naruszenia ochrony danych
osobowych: praktyka
po 25 maja
2. Naruszenia ochrony danych
osobowych: perspektywa
cyberbezpieczeństwa
3. Naruszenia ochrony danych
osobowych: perspektywa prawna
6. PwC
Jak dowiedzieć się o wycieku danych,
zanim wszyscy dowiedzą się o nim z Internetu?
6
Security
Operations Center
Compromise
Discovery
Breach
plan
Incident
response
7. Security Operations Center (SOC)
Ongoing oprations & improvements
Incident Detection
Anomaly based detection
Rule based detection
Human reported incidents
Alert analysis and triage
Incident response
and investigations
Incident response
Internal Investigations
Fraud Monitoring
Forensic Analysis
Response orchestration
& automation
Attack Surface
Management
Compliance testing
Vulnerability Management
Redteaming & Penetration
Testing
Application security tests
Awareness and reporting
Digital Brand Protection
Social media/Internet monitoring
Phishing Analysis
Brand Monitoring
Platform engineering
Platforms operation,
troubleshooting
and Change Management
Security architecture
and configuration improvement
System integration,
assets onboarding
Cyber Intelligence and
Hunt Team Services
Malware and threat analysis
Threat intelligence
Threat hunting
8. PwC
Pytania do SOC
w kontekście RODO
8
1. Czy SOC dysponuje scenariuszami
nakierowanymi na wykrywanie
wycieków danych osobowych?
2. Czy procedury reakcji uwzględniają
wymagania RODO w zakresie
powiadamiania o wycieku?
3. Czy personel SOC jest przeszkolony
w zakresie RODO?
9. PwC
Wykrywanie naruszeń /
potencjalnych wycieków
9
Breach discovery
• Przeszukanie środowiska informatycznego
w poszukiwaniu śladów aktywnego lub
przeszłego włamania/wycieku danych
• Nie wymaga instalacji oprogramowania
• Wykonywane jednorazowo lub cyklicznie
5
Threat
Hunting
4
Breach
Discovery
3
Cyber
Crisis
Simulation
2
Incident
Response
Plan
6
Incident
Response
1
Cyber risk
profile, key
threats and
critical assets
10. PwC
Reakcja na incydent
10
Reakcja na incydent
• Załatanie luk bezpieczeństwa
• Ustalenie rzeczywistej skali wycieku
• Transformacja danych dla celów powiadomień
• Wymaga zaplanowania
5
Threat
Hunting
4
Breach
Discovery
3
Cyber
Crisis
Simulation
2
Incident
Response
Plan
6
Incident
Response
1
Cyber risk
profile, key
threats and
critical assets
11. PwC
Zaplanowanie odpowiedzi na wyciek
11
Przygotowanie planu działania
na wypadek wycieku
• Zaplanowanie dostępności zasobów
(decydenci, prawnicy, PR, IT, IT Security,
zasoby zewnętrzne)
• Przygotowanie ogólnych
schematów/scenariuszy postępowania
5
Threat
Hunting
4
Breach
Discovery
3
Cyber
Crisis
Simulation
2
Incident
Response
Plan
6
Incident
Response
1
Cyber risk
profile, key
threats and
critical assets
13. PwC
Definicja naruszenia ochrony danych osobowych
13
Art. 4 pkt 12 RODO
„Naruszenie ochrony danych
osobowych" oznacza
naruszenie bezpieczeństwa
prowadzące do
przypadkowego lub
niezgodnego z prawem:
• Zniszczenia
• Utracenia
• Zmodyfikowania
• Nieuprawnionego
ujawnienia lub
nieuprawnionego
dostępu
• Do danych osobowych
przesyłanych,
przechowywanych lub
w inny sposób
przetwarzanych
„Zniszczenie” oznacza, że
dane już nie istnieją lub
przestały istnieć w postaci,
w której administrator
mógłby je w jakikolwiek
sposób wykorzystać
Przykłady:
• Zalanie serwerowni
i dysków twardych na
serwerach w wyniku czego
doszło do spalenia serwera
• Zgranie na pendrive
jedynej kopii bazy
kontaktów marketingowych
i wyrzucenie nośnika do
śmieci przy sprzątaniu
biurka
• Przypadkowe usunięcie
danych z jedynej kopii
danych
„Utracenie” oznacza, że
dane mogą nadal istnieć,
ale administrator utracił
nad nimi kontrolę, nie
posiada już do nich
dostępu lub nie znajduje
się już w ich posiadaniu.
Przykłady:
• Zgubienie przez
pracownika lub kradzież
urządzenia, na którym
przechowywana jest kopia
bazy danych klientów
administratora.
• Jedyna kopia zbioru
danych osobowych została
zaszyfrowana wskutek
zastosowania
oprogramowania typu
ransomware, lub sytuacja,
w której administrator
zaszyfrował dane za
pomocą klucza, który nie
znajduje się już w jego
posiadaniu.
• Nieuprawnione
ujawnienie lub
nieuprawniony dostęp
do danych
Przykłady:
• Ujawnienie (lub
udostępnienie) danych
osobowych odbiorcom,
którzy nie są upoważnieni
do ich otrzymania
• Przekazanie danych
podwykonawcy bez
zawartej umowy
powierzenia w wyniku
błędu pracownika
• Wysłanie niezaszyfrowanej
wiadomości poza
organizację z listą
pracowników zgłoszonych
do ubezpieczenia
zdrowotnego do
niewłaściwego adresata
14. PwC
Klasyfikacja naruszeń
14
Opinia WP29 03/2014 na temat powiadamiania
o przypadkach naruszenia
Naruszenie może
skutkować wystąpieniem
jednej, dwóch lub trzech
okoliczności jednocześnie
15. PwC
Klasyfikacja naruszeń
15
Przykłady naruszenia poufności danych
• Przykład I: Przypadkowe wysłanie danych
osobowych klienta do osoby trzeciej.
• Przykład II: Pozostawienie niezaszyfrowanego
laptopa, telefonu komórkowego lub nośnika
zawierającego dane w kawiarni.
• Przykład III: Wysłanie wiadomości email do
klienta zawierającej adresy email pozostałych
klientów w „DW”.
Opinia WP29 03/2014 na temat powiadamiania
o przypadkach naruszenia
Naruszenie poufności –
polega na ujawnieniu
danych osobowych
nieuprawnionej osobie
16. PwC
Klasyfikacja naruszeń
16
Przykłady naruszenia dostępności danych
• Przykład I: Pracownik przypadkowo, lub osoba
nieupoważniona celowo, usuwa dane ze zbioru.
ADO próbuje odzyskać dane
z kopii zapasowej, jednak jego działania nie
przynoszą rezultatu.
• Przykład II: Kopia zbioru danych osobowych
została zaszyfrowana przez oprogramowanie typu
ransomware
• Przykład III: Kopia zbioru danych została
zaszyfrowana przy użyciu klucza, który nie jest już
w posiadaniu ADO
• Brak możliwości zalogowania do systemu do
przechowywania dokumentacji medycznej
w szpitalu przez 8h
Opinia WP29 03/2014 na temat powiadamiania
o przypadkach naruszenia
Naruszenie dostępności –
polega na trwałej lub czasowej
utracie lub zniszczeniu danych
osobowych;
17. PwC
Klasyfikacja naruszeń
17
Przykłady naruszenia integralności danych
• Przykład I: W wyniku działań nieporządnego
oprogramowania w wielu rekordach znajdują
błędy w adresach klientów, informacjach
o posiadanych produktach (np. bankowych
czy ubezpieczeniowych)
• Przykład II: Dane dwóch klientów zostały scalone
w wyniku błędu systemu.
• Przykład III: Pracownik dla żartu zmienia
nazwiska klientów poprzez dopisanie litery
„s” na końcu każdego z nich.
Opinia WP29 03/2014 na temat powiadamiania
o przypadkach naruszenia
Naruszenie integralności –
polega na zmianie treści
danych osobowych w sposób
nieautoryzowany
Źródło: https://www.biznes.gov.pl/pl/firma/sprzedaz-i-marketing/chce-sprzedawac-
przez-internet/proc_889-naruszenie-danych-osobowych
18. PwC
Stwierdzenie naruszenia
18
Zgłaszanie naruszenia organowi
nadzorczemu (art. 33):
• Niezwłocznie, nie później niż w ciągu
72h od stwierdzenia naruszenia, chyba,
że ryzyko naruszenia praw lub wolności
jest mało prawdopodobne
• Standard rynkowy: procesor ma 24h
na zawiadomienie ADO
Kiedy możemy powiedzieć,
że naruszenie zostało
„stwierdzone”?
19. PwC
Stwierdzenie naruszenia
19
Zgłaszanie naruszenia organowi nadzorczemu (art. 33):
Wstępna ocena czy mamy do czynienia z danymi
osobowymi
• osoby zmarłe
• brak zautomatyzowanego przetwarzania i brak zbioru
danych
• osoby prawne
72 h
STWIERDZENIE
Informacja
o możliwości
wystąpienia
naruszenia
(od pracownika,
komunikat
z anti-APT lub
SIEM, od
podmiotu
przetwarzająceg,
informacja od
osoby trzeciej)
Zebranie
informacji
z odpowiednich
jednostek
Ocena zebranych
informacji
w celu
stwierdzenia
naruszenia
Podjęcie decyzji
przez
wyznaczoną
jednostkę(i)
czy doszło do
naruszenia.
Konsultacje
z innymi
jednostkami.
Ocena ryzyka
naruszenia praw
i wolności
Przygotowanie
zgłoszenia
Zgłoszenie
Co to znaczy, że naruszenie
zostało „stwierdzone”?
20. PwC
Stwierdzenie naruszenia
20
Przykładowe postanowienie
procedury zgłaszania naruszeń:
„Zgłoszenia do UODO dokonuje IOD
w terminie 72 h od wykrycia
naruszenia”
Przykładowe postanowienie
procedury reakcji na incydenty:
„Bieg terminu 72 godzin, o którym mowa
w art. 33 RODO, liczony jest od daty
wskazanej przez Biuro IOD jako daty
stwierdzenia Naruszenia. Za stwierdzenie
Naruszenia uznaje się moment, w którym
uzyskano wystarczającą ilość informacji,
aby jednoznacznie stwierdzić, że doszło
do wystąpienia zdarzenia, które skutkowało
powstaniem Naruszenia ochrony danych
osobowych.”
21. PwC
Kiedy zgłaszać naruszenie do organu?
21
Ocenę naruszenia dokonuje się z punktu
widzenia ryzyka naruszenia praw lub
wolności osób fizycznych.
Art. 33 ust. 1 RODO: W przypadku
naruszenia ochrony danych osobowych,
administrator bez zbędnej zwłoki –
w miarę możliwości, nie później niż
w terminie 72 godzin po stwierdzeniu
naruszenia - zgłasza je organowi
nadzorczemu właściwemu zgodnie z art. 55,
chyba że jest mało prawdopodobne,
by naruszenie to skutkowało ryzykiem
naruszenia praw lub wolności osób
fizycznych.
Zawiadamianie podmiotów
danych (art. 34):
• Jeżeli naruszenie ochrony danych
powoduje wysokie ryzyko naruszenia
praw i wolności osób fizycznych,
• Zawiadomienie powinno jasnym
i prostym językiem zawierać te same
informacje, co dostarczane organowi
nadzorczemu,
• Zawiadomienie nie jest konieczne jeżeli:
o Wdrożone zostały odpowiednie
techniczne i organizacyjne środki
ochrony – SZYFROWANIE!
o Administrator podjął środki eliminujące
prawdopodobieństwo dużego
zagrożenia dla praw i wolności osoby,
o Wymagałoby ono niewspółmiernie
dużego wysiłku – 1.000.000 maili
to nie jest duży wysiłek!
22. PwC
Kiedy zgłaszać naruszenie do organu?
22
Co brać pod uwagę przy ocenie ryzyka
naruszenia praw i wolności?
Motyw 76 RODO: Prawdopodobieństwo
i powagę ryzyka naruszenia praw lub
wolności osoby, której dane dotyczą,
należy określić poprzez odniesienie się do
charakteru, zakresu, kontekstu i celów
przetwarzania danych. Ryzyko należy
oszacować na podstawie obiektywnej
oceny, w ramach której stwierdza się, czy
z operacjami przetwarzania danych wiąże
się ryzyko lub wysokie ryzyko.
Narzędzie PwC pozwala ocenić ryzyko
z uwzględnieniem zarówno powagi, jak
i prawdopodobieństwa naruszenia praw
lub wolności osób, których dane dotyczą.
Zalecenia ENISA dotyczące metodyki
oceny ciężar naruszenia ochrony danych
osobowych. ENISA czyli: Agencji Unii
Europejskiej ds. Bezpieczeństwa Sieci
i Informacji
23. PwC
Metodyka oceny
Ocenę powagi naruszenia przeprowadza się
w oparciu o trzy kryteria:
1. Kontekst Przetwarzania Danych (KPD) - KPD
stanowi rdzeń metodyki i ocenia krytyczność
danego zbioru danych w konkretnym kontekście
przetwarzania.
2. Łatwość Identyfikacji (ŁI) jest czynnikiem
korygującym KPD. Ogólna krytyczność
przetwarzania danych może zostać zmniejszona
w zależności od wartości ŁI. Innymi słowy,
im niższa łatwość identyfikacji, tym niższa jest
ogólna ocena. Dlatego kombinacja ŁI i KPD
(poprzez mnożenie) daje początkową ocenę i (OC)
naruszenia danych.
3. Okoliczności Naruszenia (ON): ON określa
ilościowo konkretne okoliczności naruszenia, które
mogą, ale nie muszą występować w danej
sytuacji. Gdy okoliczności te występują, ON może
zwiększyć ciężar określonego naruszenia. Z tego
powodu początkowa ocena może być dodatkowo
skorygowana przez DPO. Okoliczności bada się
z punktu widzenia utraty poufności, integralności
i dostępności danych oraz złej intencji.
24. PwC
Metodyka oceny
1. Kontekst Przetwarzania Danych (KPD)
a) Dane zwykłe (np. imię i nazwisko, dane
kontaktowe (teleadresowe), dane dotyczące
wykształcenia, życia rodzinnego, doświadczenia
zawodowego itp.)
b) Dane behawioralne (np. dane geolokalizacyjne
(dane GPS), dane dotyczące osobistych preferencji
i nawyków itp.)
c) Dane finansowe (np. dane dotyczące dochodu,
transakcji finansowych, wyciągi bankowe,
inwestycje, karty kredytowe, faktury, dane
dotyczące opieki społecznej związane
z informacjami finansowymi.)
d) Dane wrażliwe (stan zdrowia, przynależność
partyjna, dane biometryczne)
25. PwC
Metodyka oceny
2. Łatwość Identyfikacji (ŁI)
a) Identyfikacja na podstawie danych ograniczona.
Identyfikacja jest utrudniona i wymaga zaistnienia
dodatkowych okoliczności. Przykład: Nieuprawniony
dostęp do adresów email.
b) Identyfikacja na podstawie danych ograniczona.
Identyfikacja jest utrudniona i może wymagać
zaistnienia dodatkowych okoliczności. Przykład:
Naruszenie dotyczy danych z formularzy
kontaktowych.
c) Identyfikacja prawdopodobna. Identyfikacja może
być możliwa wyłącznie w oparciu o dane będące
przedmiotem naruszenia. Przykład: Nieuprawniony
dostęp do nagrania z infolinii.
d) Identyfikacja możliwa bezpośrednio na podstawie
danych. Dane będące przedmiotem naruszenia
w sposób pewny umożliwiają identyfikację osoby.
Identyfikacja jest możliwa wyłącznie w oparciu
o dane będące przedmiotem naruszenia. Przykład:
Wyciek informacji zawartych w umowie.
26. PwC
Metodyka oceny
3. Okoliczności Naruszenia
a) Utrata poufności danych. Przykład I: Zgubienie
plików, nośników podczas transportu. Przykład II:
Sprzedaż nośnika zawierającego dane.
b) Utrata integralności danych. Przykład I: Dane
zostały przypadkowo, nieprawidłowo zmienione,
jednak ich pierwotna wersja została zachowana.
Przykład I: Dane zostały przypadkowo,
nieprawidłowo zmienione, a ich pierwotna wersja
nie została zachowana.
c) Utrata dostępności danych. Utrata dostępności
z możliwością przywrócenia dostępności /
Tymczasowa utrata dostępności / Całkowita
i nieodwracalna utrata dostępności.
d) Zła intencja. Przykład I: Pracownik sprzedaje
dane klientów drugiej spółce. Przykład II: Zakład
ubezpieczeń stał się ofiarą ataku hakerskiego,
w ramach którego doszło do kradzieży danych
osobowych klientów.
27. PwC
Metodyka oceny
27
Powaga naruszenia uwzględniająca
Kontekst przetwarzania, Łatwość
identyfikacji i Okoliczności naruszenia,
kalkulowana jest zgodnie ze wzorem:
Prawdopodobieństwo naruszenia
praw lub wolności osób, których dane
dotyczą jest oceniane z perspektywy
trzech atrybutów bezpieczeństwa
danych osobowych (art. 32 RODO):
utraty poufności;
utraty integralności,
utraty dostępności.
Skala powagi, będąca wynikiem
powyższej kalkulacji (w zależności
od zebranych punktów oceny):
Niska Średnia
Wysoka
Bardzo
wysoka
PO = KPD x ŁI + ON
28. PwC
Metodyka oceny
28
Prawdopodobieństwo naruszenia praw lub wolności
osób, których dane dotyczą jest oceniane
z perspektywy trzech atrybutów bezpieczeństwa
danych osobowych
(art. 32 RODO):
c. utraty dostępności.
• Przykład NISKIEGO prawdopodobieństwa: Dane
osobowe nie są wykorzystywane do działań Banku,
które mogą wywoływać skutki dla podmiotów
danych (np. przetwarzanie danych wyłącznie
w celach archiwalnych).
• Przykład BARDZO WYSOKIEGO
prawdopodobieństwa: Przypadek, w którym nie jest
możliwe odtworzenie lub ponowne zebranie danych
osobowych, które są wykorzystywane w ramach
procesów wpływających lub mogących wpływać
na sytuację podmiotu danych.
Skala prawdopodobieństwa,
będąca wynikiem powyższej
kalkulacji (w zależności
od zebranych punktów oceny):
Niska Średnia
Wysoka
Bardzo
wysoka
PR = max (UP, UI, UD)
W ramach końcowej oceny
prawdopodobieństwa (PR) odzwierciedlanej
na mapie ryzyka pod uwagę brana jest
najwyższa wartość prawdopodobieństwa
naruszenia praw lub wolności osób, których
dane dotyczą.
29. PwC
Metodyka oceny ryzyka naruszenia praw lub wolności
29
Powaga
Niska Średnia Wysoka Bardzo wysoka
Prawdopodobieństwo
Niskie N N N N
Średnie N Ś Ś Ś
Wysokie N Ś W W
Bardzo
wysokie
N Ś W W
31. PwC
Zgłaszanie naruszenia ochrony danych osobowych
organowi od strony formalnej
31
Zgłoszenia naruszenia organowi
nadzorczemu (art. 33) można dokonać
na cztery sposoby:
• Elektronicznie poprzez wysłanie wypełnionego
formularza (dostępnego na stronie urzędu) za
pomocą pisma ogólnego dostępnego na
platformie biznes.gov.pl
• Elektronicznie poprzez wysłanie wypełnionego
formularza na elektroniczną skrzynkę podawczą
ePUAP: /UODO/SkrytkaESP
• Elektronicznie poprzez wypełnienie
dedykowanego formularza elektronicznego
dostępnego bezpośrednio na platformie
biznes.gov.pl będącego odwzorowaniem
formularza dostępnego
w załączniku.
• Tradycyjną pocztą wysyłając wypełniony
formularz na adres Urzędu.
Źródło: https://uodo.gov.pl/pl/134/233
Opisywać
charakter
naruszenia
Zawierać dane
kontaktowe
osoby, od której
można uzyskać
więcej informacji
o naruszeniu
Opisywać możliwe
konsekwencje
naruszenia
Opisywać
środki
zaradcze
Zgłoszenie musi:
32. PwC
Zgłaszanie naruszenia
ochrony danych
osobowych organowi
32
REJESTR NARUSZEŃ
– art. 33 ust. 5 RODO
Administrator dokumentuje wszelkie
naruszenia ochrony danych osobowych,
w tym:
• okoliczności naruszenia ochrony danych
osobowych
• jego skutki
• podjęte działania zaradcze
Dokumentacja ta musi pozwolić organowi
nadzorczemu weryfikowanie przestrzegania
niniejszego artykułu.
Naruszenia
ochrony danych
wymagające
zgłoszenia do
UODO - art. 33
Naruszenia
ochrony danych
wymagające
zawiadomienia
podmiotów danych
– art. 34
Naruszenia
ochrony danych
wymagające
zgłoszenia do
UODO - art. 33